1 A GESTÃO DE RISCOS
1.6 Principais Normas e Estruturas
1.6.3 Estrutura Integrada de Gestão de Riscos Empresariais do COSO
1.6.3.1 O Processo de Gestão de Riscos do COSO
O modelo publicado pelo COSO é representado por uma matriz tridimensional, em forma
de cubo (figura 1.4), na qual se verifica a existência de uma relação entre os componentes,
as categorias de objetivos empresariais e a estrutura organizacional, cujos itens
representam a amplitude de aplicação do modelo.
Figura 1.4 – Representação da matriz tridimensional do COSO – ERM
Fonte: Adaptado da Estrutura Integrada de Gestão de Riscos Empresariais do COSO
1. AMBIENTE INTERNO
O cerne de qualquer negócio são os recursos humanos (especificamente os atributos
referentes à integridade, valores éticos e competência) e o ambiente em que estes operam.
O ambiente interno determina a forma como o risco, o respetivo grau de tolerância e o
Sistema de Controlo Interno (SCI) são percecionados pela organização, constituindo a
base para todos os outros componentes da gestão de riscos.
OAMBIENTE INTERNO
INFLUENCIA A FORMA
COMO:
A estratégia e os objetivos são definidos;
As atividades são estruturadas, desenhadas e realizadas;
Os riscos são identificados, avaliados e geridos;
Os sistemas de informação e comunicação são desenhados e
funcionam;
As atividades de monitorização são desenhadas e realizadas.
A filosofia de gestão de riscos consiste nas convicções, opiniões e atitudes e carateriza-
se na forma como a organização perceciona o risco em todas as suas atividades, desde o
desenvolvimento e implementação da estratégia às suas atividades quotidianas. Reflete
os valores organizacionais, influenciando a sua cultura e estilo operacional e afeta a forma
como os componentes da gestão de riscos são aplicados, e como os riscos são
identificados, aceites e geridos. Esta filosofia deverá repercutir-se por toda a organização,
veiculada através de políticas, informações verbais ou escritas e na tomada de decisões.
O apetite pelo risco determina o nível de risco que uma entidade se predispõe a aceitar
para atingir os seus objetivos, e é considerado ao estabelecer a estratégia institucional,
podendo ser definido em termos qualitativos ou quantitativos.
2. DEFINIÇÃO DE OBJETIVOS
O facto de as organizações enfrentarem uma variedade de riscos, com origem em fontes
internas ou externas, determina a definição de objetivos como pré-condição à
identificação, avaliação e resposta adequada aos riscos.
Os objetivos definidos a nível estratégico estabelecem a base para a definição dos
objetivos operacionais, de reporte e de conformidade, os quais deverão estar alinhados e
ser consistentes com o nível de apetite pelo risco definido pela organização.
No quadro 1.6 descrevem-se os tipos de objetivos presentes na matriz do COSO–ERM.
Quadro 1.6 – Definição de objetivos organizacionais
OBJETIVOS
DESCRIÇÃO
Estratégicos
Objetivos de alto nível alinhados com a missão e visão da organização
Operacionais
Objetivos relacionados com a eficácia e eficiência das operações, que constituem
uma referência na alocação dos recursos
Reporte
Objetivos relacionados com a preparação de reportes internos ou externos
contendo informação fiável, de natureza financeira ou não financeira
Conformidade
Objetivos relacionados com o cumprimento de legislação e regulamentação aos
quais a organização se encontra sujeita
3. IDENTIFICAÇÃO DOS RISCOS
Deverão ser identificados, de forma contínua e interativa, os eventos de origem externa e
interna que, caso ocorram, possam comprometer, positiva ou negativamente, a
implementação da estratégia e a concretização dos objetivos da organização. A eficácia
da gestão de riscos depende, em larga medida, da capacidade da organização desenvolver,
continuamente, o processo de identificação dos riscos, nomeadamente, através de
atualizações periódicas aquando da deteção de novos riscos ou da sua erradicação.
De um modo geral, a identificação dos riscos constitui uma fase crucial, formando a base
da avaliação de riscos e assegurando que a estes seja atribuída uma resposta adequada.
A identificação de riscos poderá, na sua metodologia, empregar uma combinação de
técnicas. As técnicas de identificação de riscos deverão considerar quer eventos passados,
quer eventos que possam vir a ocorrer no futuro. No que concerne a eventos passados
deverão ser consideradas questões como o comportamento da organização, dos seus
clientes ou do mercado. As técnicas cujo foco recai sobre eventos futuros deverão
considerar questões concernentes a alterações nas caraterísticas demográficas, novas
condições de mercado ou ações concorrenciais.
A título de exemplo, algumas das técnicas para identificação de riscos poderão consistir
em reuniões e entrevistas com os responsáveis dos Serviços ou demais colaboradores, no
desenho e análise do fluxo dos processos, na realização de avaliações de situações
adversas ocorridas em entidades congéneres, ou, ainda, a consulta de listagens que
forneçam informação sobre riscos específicos do setor de atividade.
4. AVALIAÇÃO DOS RISCOS
O horizonte temporal utilizado para a avaliação dos riscos deverá ser consistente com o
da estratégia e dos objetivos da organização. Os riscos identificados são avaliados de
acordo com a sua probabilidade de ocorrência e impacto previsto, sendo a primeira
representativa da possibilidade ou da respetiva frequência da ocorrência de determinado
evento e a segunda representativa do seu efeito.
Os riscos devem, ainda, ser classificados numa perspetiva de risco inerente e risco
residual, sendo o primeiro aquele que existe antes de ser considerada qualquer resposta
ao risco e o segundo aquele que permanece após a implementação de respostas ao risco,
nomeadamente, através da implementação de controlos que visem reduzir a probabilidade
inicialmente tendo em consideração os riscos inerentes e, após a definição e
implementação de respostas ao risco, efetuada para os riscos residuais.
O quadro 1.7 estabelece os critérios de classificação das duas variáveis do risco.
Quadro 1.7 – Critérios de classificação do risco
IMPACTO PREVISTO
PROBABILIDADE DE OCORRÊNCIA
Baixo
Os possíveis impactos financeiros ou outros não
são considerados materialmente relevantes nem
os danos provocados comprometem a eficácia
ou eficiência das operações ou a imagem da
organização.
Baixa
Atendendo à natureza da atividade ou à
eficácia/adequação das medidas de controlo, a
possibilidade de ocorrência de determinado evento
ou a frequência com que este possa ocorrer, num
determinado período, é relativamente baixa.
Médio
O risco identificado pode comportar prejuízos
financeiros ou outros e afetar o funcionamento
dos Serviços e os objetivos de gestão, podendo
comprometer a eficiência e a eficácia dos
processos.
Média
A probabilidade de ocorrência de determinado
evento de risco é classificada como média, quando
o processo seja executado ocasionalmente e o
respetivo
controlo
interno
não
se
revele
suficientemente eficaz.
Alto
O risco identificado pode resultar em prejuízos
financeiros materialmente relevantes ou outros
de impacto significativo, comprometendo a
eficiência e a eficácia dos processos e colocando
em causa o cumprimento da missão da
organização e a sua imagem.
Alta
A probabilidade de ocorrência ou de frequência de
um evento de risco é considerada alta quando a
natureza da atividade apresenta essa caraterística,
ou quando isolada ou cumulativamente, as medidas
de controlo introduzidas, se revelem inadequadas
ou ineficazes.
Fonte: Elaboração própria
O risco é classificado utilizando uma grelha bidimensional, em cujos eixos figuram o
impacto previsto e a probabilidade de ocorrência, conforme figura 1.5.
Figura 1.5 – Matriz de classificação dos riscos
CLASSIFICAÇÃODORISCO = I
MPACTOP
REVISTO XP
ROBABILIDADE DEO
CORRÊNCIAA avaliação da probabilidade e do impacto do risco poderá ser realizada através de
métodos qualitativos e/ou quantitativos, de forma individual ou por categorias, tendo por
base um horizonte temporal. Por regra, quando não existe informação suficiente ou
quando os riscos são difíceis de quantificar, opta-se pela utilização de métodos
qualitativos. Porém, os métodos quantitativos apresentam uma maior precisão, sendo
utilizados, normalmente, em atividades mais complexas ou como complemento.
5. RESPOSTAS AOS RISCOS
Após conduzir um processo de avaliação dos riscos, a organização deverá determinar uma
resposta adequada, no sentido de evitar, partilhar, reduzir ou aceitar esses riscos,
considerando o processo em causa e o efeito sobre a probabilidade de ocorrência e o
impacto previsto, assim como os custos e benefícios subjacentes à opção tomada, de
forma a manter os riscos residuais, após a efetivação das medidas de controlo, dentro de
um limite aceitável. Esta decisão poderá ser auxiliada pela aplicação de um conjunto de
estratégias, como as apresentadas no quadro 1.8.
Quadro 1.8 – Respostas aos riscos
RESPOSTA
DESCRIÇÃO
Evitar
Eliminar a causa ou descontinuar as atividades que geram o risco, nomeadamente através
da desistência de uma linha de produtos, do recuo na expansão para novos mercados
geograficamente dispersos, ou da venda de uma unidade de negócio.
Partilhar
Reduzir a probabilidade de ocorrência ou impacto previsto, transferindo ou partilhando
parte do risco com terceiros, através, designadamente, da aquisição de apólices de
seguros ou do recurso a outsourcing.
Reduzir
Adotar medidas que reduzam a probabilidade de ocorrência ou o impacto previsto, ou
ambos.
Aceitar
Nenhuma ação é adotada no sentido de influenciar a probabilidade de ocorrência ou o
impacto previsto.
Fonte: Adaptado da Estrutura Integrada de Gestão de Riscos Empresariais do COSO
Se por um lado, um risco classificado como baixo não exige grandes considerações, por
outro, um risco classificado como alto exigirá uma resposta mais eficaz e célere,
concretizada, nomeadamente, através do direcionamento dos recursos. As circunstâncias
situadas entre esses extremos são, geralmente, difíceis de gerir.
Caso a resposta passe pela redução do risco, carece que seja efetuada análise ponderada
ao peso relativo que cada uma das variáveis tem na sua classificação. Por conseguinte,
será expectável, que as medidas de controlo a introduzir permitam reduzir o risco para
um nível aceitável através da mitigação da variável de maior significado.
A figura 1.6 apresenta, esquematicamente, um conjunto de possíveis estratégias de
resposta aos riscos de acordo com a classificação obtida para cada uma das variáveis.
Figura 1.6 – Possíveis estratégias de resposta aos riscos
Fonte: Elaboração própria
6. ATIVIDADES DE CONTROLO
Na gestão de riscos empresariais, os controlos internos são os mecanismos utilizados para
atenuar ou reduzir as exposições ao risco de uma organização (Hardy, 2015).
Idealmente, quando os riscos são identificados, devem ser encetados todos os esforços no
sentido de se lhe emparelharem controlos internos específicos com vista à sua mitigação.
No mínimo, como boa prática, dever-se-ão associar controlos internos específicos aos
maiores riscos a que a organização está exposta (Hardy, 2015).
Na opinião de Cendrowski & Mair (2009) os controlos só se justificam na medida em que
sirvam um propósito, i.e., a diminuição de exposição aos riscos, reduzindo a
probabilidade de ocorrência de eventos, a frequência da sua ocorrência, ou o impacto das
consequências causadas. A exposição é o impacto da consequência (geralmente expresso
em termos financeiros) multiplicado pelo número de incidentes que possam ocorrer.
O controlo interno é uma componente essencial da gestão de riscos, alavancando a
mitigação dos riscos para níveis tolerados e funcionando como salvaguarda da retidão na
tomada de decisões, prevenindo a ocorrência de erros e irregularidades, ou minimizando
as suas consequências. Os controlos devem estar disseminados por todos os níveis
organizacionais, podendo compreender, designadamente, procedimentos relacionados
com a segregação de funções, revisões, reconciliações ou aprovações.
Os controlos constituem uma parte fundamental no processo pelo qual a organização tenta
atingir os seus objetivos. Embora os controlos se relacionem, geralmente, com um
determinado tipo de objetivos, permitem, por vezes, a concretização de outro tipo de
objetivos, isto é, a título de exemplo, controlos sobre operações poderão também
assegurar quer a fiabilidade do reporte, quer a conformidade com leis e regulamentos.
De acordo com Morais e Martins (2007, p. 31), “qualquer sistema de controlo interno
deve incluir os controlos adequados, podendo classificar-se” de acordo com os tipos
apresentados no quadro 1.9:
Quadro 1.9 – Tipificação dos controlos
CONTROLOS
DESCRIÇÃO
Preventivos
Visam impedir que factos indesejáveis ocorram, sendo considerados controlos
a priori.
Detetivos
Permitem detetar factos indesejáveis que já tenham ocorrido, sendo
considerados controlos a posteriori.
Diretivos/Orientativos
Servem para provocar ou encorajar a ocorrência de um facto desejável.
Corretivos
Possibilitam a retificação de problemas identificados.
Compensatórios
Permitem compensar eventuais fraquezas de controlo noutras áreas da
organização.
Fonte: Adaptado de (Morais & Martins, 2007, p. 31)
O controlo interno deverá assentar num conjunto de medidas que assegurem o
cumprimento dos objetivos institucionais, assumindo, por exemplo, as seguintes formas:
a) Manuais de controlo interno e regulamentos atualizados e dinâmicos que contenham
a descrição e desenho funcional dos procedimentos internos;
b) Controlo hierárquico regular e focado nas atividades internas de cada Serviço;
c) Divulgação oportuna de normativos organizacionais:
Regulamento Interno;
Código de Ética;
Plano de Gestão de Riscos;
Circulares Internas.
d) Atualização da legislação e regulamentação de enquadramento à atividade.
7. INFORMAÇÃO E COMUNICAÇÃO
O processamento e a filtragem de grandes volumes de informação, proveniente quer de
fontes internas, quer de fontes externas, apresenta-se como um dos maiores desafios à
avaliada e comunicada de forma e no prazo que, permitam aos vários níveis responder
efetivamente aos riscos. Dito de outra forma, para que seja ultrapassado aquele desafio, a
informação pertinente deverá fluir de forma correta, com a complexidade necessária,
dirigida às pessoas certas e na ocasião oportuna.
ACOMUNICAÇÃO DEVE
OCORRER DE FORMA A
PERMITIR TRANSMITIR,
EFICAZMENTE:
A estratégia e os objetivos institucionais;
A importância e a pertinência da gestão de riscos;
O nível de tolerância dos riscos;
Uma linguagem comum no que concerne à gestão de riscos;
A definição das funções e responsabilidades das direções e
colaboradores na gestão de riscos.
A comunicação também deve ocorrer de fora da organização, através de canais por onde
clientes/utentes e fornecedores possam facultar informação significativa acerca da
qualidade dos produtos/serviços, possibilitando, assim, a perceção de riscos que, de outra
forma, passariam despercebidos e adaptando a oferta às suas exigências ou preferências.
8. MONITORIZAÇÃO
O processo de gestão de riscos, na sua globalidade, deverá ser monitorizado, ajustando-o
sempre que necessário, pois os objetivos ou a estratégia poderão mudar, as respostas ao
risco que antes eram efetivas poderão tornar-se irrelevantes e as atividades de controlo
poderão tornar-se menos eficazes ou deixar de ser efetuadas.
A monitorização visa assegurar que a gestão de riscos e respetivos componentes
continuam a operar de forma efetiva. Este processo envolve a avaliação da conceção e
operação dos controlos, podendo ser efetuada através de atividades contínuas dentro do
Serviço ou através de avaliações periódicas independentes realizadas pela Auditoria
Interna ou entidades externas.
As atividades de monitorização realizadas continuamente pelos Serviços, onde se
incluem, entre outras, atividades regulares de gestão e supervisão, comparações,
reconciliações e outras ações rotineiras, permitem reagir de forma mais oportuna a
possíveis alterações estruturais e processuais e de forma mais preventiva à ocorrência de
erros ou irregularidades, do que as atividades realizadas através de avaliações externas.
A monitorização dos controlos realizada, internamente, pelos Serviços, permite uma
gestão mais pró-ativa dos riscos, que aquela, resultante de avaliações externas, que se
carateriza, tendencialmente, por ser mais reativa. Por conseguinte, quanto mais amplas e
eficazes sejam as atividades realizadas internamente pelos Serviços, menor será a
necessidade da realização de avaliações externas ao Serviço. Porém, o recurso combinado
das duas formas de monitorização, permitirá à organização, aumentar a garantia de que,
ao longo do tempo, a gestão de riscos se mantém eficaz.
No documento
Implementação de um modelo de gestão de risco não clinico na ULSNA, EPE
(páginas 39-47)